Google недавно объявил о запуске новая услуга называется «ОСВ» (Уязвимости с открытым исходным кодом), которые илиобеспечивает доступ к базе данных об уязвимостях в программном обеспечении с открытым исходным кодом.
Обслуживание предоставляет API что позволяет автоматизировать формирование запросов на получение информации об уязвимостях, с привязкой к статусу репозитория с кодом. Уязвимости присваиваются идентификаторы OSV. отдельные, которые дополняют CVE расширенной информацией.
В частности, база данных OSV отражает статус решения проблемы, подтверждения указываются с появлением и устранением уязвимости, диапазоном уязвимых версий, ссылками на репозиторий проекта с кодом и уведомлением о проблеме.
Мы рады запустить OSV (уязвимости с открытым исходным кодом), наш первый шаг к улучшению классификации уязвимостей для разработчиков и потребителей программного обеспечения с открытым исходным кодом. Цель OSV - предоставить точные данные о том, где была обнаружена уязвимость и где она была исправлена, тем самым помогая потребителям программного обеспечения с открытым исходным кодом точно определить, подвержены ли они уязвимости, а затем как можно быстрее внести исправления в систему безопасности. Мы начали OSV с набора данных об уязвимостях фаззинга, обнаруженных службой OSS-Fuzz. Проект OSV развился из наших недавних усилий по улучшению управления уязвимостями с открытым исходным кодом (структура «Знай, предотвращай, исправляй»).
Управление уязвимостями может быть болезненным как для потребителей, так и для тех, кто поддерживает программное обеспечение с открытым исходным кодом, и во многих случаях требует утомительной ручной работы.
Главная цель создать OSV для упрощения процесса информирования сопровождающих пакетов об уязвимостях точное определение версий и коммитов, затронутых проблемой. Присутствующие данные позволяют на уровне коммитов и тегов отслеживать проявление уязвимости и анализировать подверженность проблеме производных и зависимостей.
Помимо поиска уязвимостей, он также должен автоматизировать поиск уязвимых версий. Для этого в основе сервиса лежат автоматизированные процессы анализа ударов и деления пополам. Последний используется для поиска подтверждения того, что вы ввели конкретную ошибку в проект.
Любой, кто использует библиотеку с открытым исходным кодом, может получить доступ к OSV через API и посмотреть, подвержена ли конкретная версия обнаруженной уязвимости. Для запроса требуется ключ API из консоли Google API.
Для потребителей программного обеспечения с открытым исходным кодом часто бывает трудно назначить уязвимость, такую как запись Common Vulnerabilities and Exposures (CVE), версиям пакета, которые они используют. Это связано с тем, что схемы управления версиями существующих стандартов уязвимостей (таких как Common Platform Enumeration (CPE)) не соответствуют фактическим схемам управления версиями с открытым исходным кодом, которые обычно представляют собой версии / теги и хэши подтверждения. В результате упускаются из виду уязвимости, влияющие на потребителей, находящихся ниже по течению.
Например, API позволяет запрашивать информацию о наличии уязвимостей. по номеру подтверждения или версии программы. В настоящее время в базе данных содержится около 25 тысяч выявленных проблем. в процессе автоматизированного тестирования фаззинга в системе OSS-Fuzz, охватывающей код более 380 проектов с открытым исходным кодом на C / C ++.
Мы планируем работать с сообществами с открытым исходным кодом для масштабирования с данными из различных языковых экосистем (например, NPM, PyPI) и построить конвейер для сопровождающих пакетов, чтобы отправлять уязвимости с минимальными усилиями.
В будущем планируется подключение дополнительных источников информации. об уязвимостях к базе данных. Например, ведется работа по интеграции информации об уязвимостях в проектах на языке Go, а также в экосистемах NPM и PyPl.
Наконец, если вы хотите узнать об этом больше, вы можете проконсультироваться по следующей ссылке.